В ботнете RapperBot добавилась возможность майнинга криптовалюты Monero (XMR) к существующему распределенному вредоносному ПО. Об этом говорится в анализе Fortinet FortiGuard Labs.
«Но на этот раз разработчики решили добавить дополнительный уровень кодирования XOR», — заявили аналитики.
По данным лаборатории, криптоджекинг вредоносного ПО представляет собой модифицированный вариант известного майнера XMRig Monero, созданный специально для машин Intel x64.
«Изначально они развернули и запустили отдельный криптомайнер Monero вместе с обычным двоичным файлом RapperBot», — пояснили исследователи.
В новой версии RapperBot использует майнер XMRig Monero на архитектуре Intel x64, чтобы добывать криптовалюту на комьютерах жертв. Активность фиксировалась с января. Аналитики утверждают, что код майнера теперь интегрирован в RapperBot и защищен двухуровневым кодированием, которое скрывает майнинговые пулы и адреса Monero.
Кроме того, размер и интервалы запросов, отправляемых на сервер управления и контроля (C2), рандомизируются, чтобы сделать обмен более незаметным. IP-адрес C2 даже содержит два прокси-сервера для майнинга, чтобы еще больше запутать следы.
Это не первый случай, когда XMR майнят ботнеты. Ранее редакция писала, что иберзлоумышленники научились заражать системы видеонаблюдения VisualTools для майнинга XMR. Python-ботнет FreakOut в большей степени нацелен на программное обеспечение для Visual Tools DVR VX16 под версией 4.2.28.0. После того, как злоумышленники заражают устройство, они получают доступ ко внутренней сети.
Более того, китайская киберпреступная группировка Rocke начала атаковать сервера Apache, Oracle и Redis с помощью майнинг-вируса Pro-Ocean. Как только вирус попадает в устройство, он автоматически закачивает и устанавливает на нее весь вредоносный XMR-майнер через удаленный HTTP-сервер.
Ранее редакция BeInCrypto объяснила, что делать, если украли криптовалюту.